当前位置:首页 > seo技术分享 > 正文

网站的DDoS攻击防护技术常见问题解答

网站会遭到攻击是一件非常普遍的事情,为了确保网站受到攻击时可以免遭“伤害”,或者说将“伤害”降到最低。一般都会采用一系列的防护措施,比如说针对DDoS攻击的防护就是比较常见的,今天小凯seo博客和朋友们分享一下网站的DDoS攻击防护技术常见问题解答,正文部分转载自百度安全指数平台。

网站的DDoS攻击防护技术常见问题解答

Q:DDoS攻击防护支持哪些业务模式?

A:目前DDoS攻击防护支持HTTPHTTPSTCP三种业务模式。关于DDoS的详细信息,请查看百度安全DDoS防御服务白皮书.pdf,地址:https://anquan.baidu.com/logos/editor/20170620/1497952725706898.pdf

Q:DDoS攻击防护支持哪几种接入方式?

A:目前DDoS攻击防护支持A记录及CNAME两种方式接入,为增加业务灵活性,推荐使用CNAME方式。

Q:一套DDoS高防IP可以配置多少条记录?

A:每种协议(HTTP/HTTPS/TCP)可以各配置50记录,一个域名(站)算一条记录,不以回源IP多少计算条数。

Q:DDoS攻击防护分配的高防IP会变更吗?

A:服务不中断的情况下不会变更高防IP,如果有中断再次开启DDoS 服务,可能会变更高防IP。

Q:接入DDoS防护后,为什么提示网站无法访问?

A:1、请访问 http://对应线路的高防IP/hello_ads。

2、如果有返回,说明线路正常,请将访问结果截图告知我们。

3、如果访问后没有任何返回结果,说明您的访问没有到达抗D中心节点上,此种情况大部分是由网络异常导致。请检查您的网络连接情况。或者通过HOSTS绑定其他线路高防IP访问网站。

4、如果遇到其他情况,也请及时联系我们处理。反馈邮箱地址:mailto:anquan_business@baidu.com。

Q:如果配置了多个回源,抗D中心对回源是如何分配的?

A:抗D中心采用IP HASH方式进行回源,理论上是平均分配,如果某个IP访问次数较多,不能保证完全平均。

Q:如果配置了多个回源,其中某个回源出现异常,DDoS防护是否会将业务切到正常的源站?

A:DDoS防护不会对源站的运行情况进行监控,所以不会将访问切换到正常的源站,还会保持轮询分配访问。

Q:如果某个线路的高防IP不能使用了,该如何处理?

A:1、如果是A地址接入:请手动切换DNS指向到其他线路高防IP。

2、如果是CNAME接入:则无需担心,抗D中心会自动切换到可用高防IP。

Q:已经将DNS的联通线路指向联通高防IP,电信线路指向电信高防IP,移动线路指向移动高防IP,为什么还有用户访问网站访问不了?

A:请用户查看一下DNS有没有配置默认线路的指向,请客户将默认线路指向三个高防IP的任意一个,可以根据业务的访问情况调整默认线路对应的高防IP。

Q:客户业务长期待在抗D中心,对业务是否有影响?

A:云抗D中心是DDoS攻击流量清洗中心,不是专业的CDN,也并无负载均衡和访问加速优化等功能。它只能在用户受到DDoS攻击时,帮助用户缓解攻击对业务的影响,降低受攻击时的访问延迟。常驻抗D中心,对您的业务稳定性没有提升,反而可能会因为抗D中心的攻击流量影响您的业务响应速度,甚至间接影响资源调度。百度安全建议您仅在业务遭受攻击的时候应急切入,减缓攻击影响,保障业务正常运行。如果您的业务一直在抗D中心里,需要您知晓以上的服务保障协议,感谢您的理解和支持。

Q:开启CC防御后,为什么有时候访问会提示“DDoS防御临时页面”?

A:这个临时页面的作用是通过JS反馈是否是浏览器行为,用来鉴别人机访问,是爬虫检测手段。(刷新或者点击这里都可以保证该临时页面不在出现)。

Q:配置TCP业务的时候,有哪些端口限制?

A:TCP业务客户可以输入1-65535之间的端口,其中的22、80-87、62222不能使用。

Q:请求数和响应数不同是什么情况?

A:请求和响应是分开来统计的,请求与响应不一定在同一秒内完成。另外有些请求如409类的,没有完整请求就断开连接的情况下,没有请求数,而有响应数。

Q:源站是否可以看到用户的真实IP?

A:1、HTTP和HTTPS业务:查看真实IP请在X-FORWARD-FOR、X-Real-IP里提取。

2、TCP业务:源站查看不到客户真实IP,除非以下两种情况:

2.1 如果服务器端用了HAProxy协议,可以在配置页面打开HAProxy开关,之后就可以看到客户真实IP。

2.2 如果是LINUX系统并且支持TOA内核模块,服务器端加载后,就可以提取到原始IP。

Q:开通DDoS防护服务后,我还需要做什么操作?

A:1、需要源站机房将我们的抗D中心IP段180.163.113.0/24,119.188.132.0/24,117.148.160.0/24加入软硬件防火墙的白名单,防止误拦。

2、页面添加相关抗D中心回源配置信息。

3、切换域名DNS指向到高防IP或CNAME。

Q:如果网站IP地址已经暴露,黑客直接攻击源站IP,该如何使用DDoS防御服务?

A:建议购买DDoS防护服务后,在源站配置两个IP,业务对外IP和业务备份IP,业务备份IP要做访问限制,只允许抗D中心的三个IP段访问,并且在DDoS防御页面配置回源为备份IP。当源站被攻击时,联系机房将对外IP放入黑洞或者封禁,同时将网站DNS解析到DDoS高防IP。

评论已关闭!